客户打电话说他们的电子邮件被某些供应商退回。调查后发现他们被列入多个 RBL/CBL。限制防火墙仅允许来自邮件服务器的端口 25 上的流量。然后请求从 RBL/CBL 中删除。
我的问题有两个:
1) 我无法确定触发黑名单的罪魁祸首。我正在寻找工具建议或流程建议,以确定根本问题并加以解决
2)您采取什么步骤来防止被列入黑名单?
答案1
为了防止将来被列入黑名单,请仅允许客户网络上的授权 SMTP 服务器发送电子邮件(我相信您已经使用“受限防火墙...”位完成此操作),确保您不是开放中继,并鼓励客户不要发送可能被视为垃圾邮件的未经请求的商业电子邮件。
我猜测客户在发送电子邮件的计算机上感染了恶意软件,并且由于他们的计算机都可以将 SMTP 源发送到互联网,因此该恶意软件能够传递它生成的电子邮件。
我会嗅探防火墙后面的流量,发往防火墙,寻找 TCP 端口 25 上发往互联网的出站 SYN 请求。如果恶意软件还没有弄清楚你做了什么并且“保持沉默”,那么这可能会找到你的罪魁祸首机器。Wireshark 或其他嗅探软件将在那里完成你需要的工作。
我猜这实际上不是一个电子邮件黑名单问题。我猜,从根本上讲,这是一个“用户以‘管理员’身份运行并允许恶意第三方使用其计算机”的问题。
答案2
我正在寻找工具建议或流程建议来确定解决问题的根本问题
界面很差,很丑,但用起来还不错。它是由迈克尔·雷纳(前同事)和我的另一个朋友。
至于找到最终原因:除了检查日志,我想不出更好的办法了。中央日志服务器非常有用,因为您至少有一个中央位置来检查发生了什么
您采取什么步骤来防止被列入黑名单?
一定要有一个双向选择加入/退出随时可用。此外,许多提供商都有垃圾邮件陷阱,有些人会使用此地址订阅您的网站,如果您的应用程序没有适当的双重选择加入,并且您开始向他们发送超过 1 或 2 封电子邮件,您将被列入黑名单。
标准内容,例如仅允许发件人通过带有用户名和密码的 SMTP+TLS,当然应该配置适当的DNS(反向DNS)等。
此外,还有一些“白名单提供商”会随机审核你。当然,我忘记了链接,我们实际上并不使用它们,因为我们认为它们提供的服务成本太高了
答案3
要确定根本问题,请检查客户的网络 IP 块,并确保有一个由 ARIN 或区域网络 IP 管理员注册的易于发现的滥用句柄。如果您是 ISP,请确保他们的网络块将您的滥用台作为滥用联系人,并且滥用邮箱受到监控以便快速响应。
最终结果是,垃圾邮件感染最终会将垃圾邮件发送到垃圾邮件陷阱或向滥用联系人报告的人员(如 SpamCop)。根据此报告,您将获得 IP 地址,以便能够找到受感染的机器。如果机器位于防火墙后面,这将是一个两步过程。
第二种常见情况是发送垃圾邮件的机器是合法的电子邮件服务器。电子邮件帐户因猜测一个弱密码(例如“test”、“password”等)或用于检索电子邮件的计算机上的键盘记录器而受到攻击。在这种情况下,可以通过更改电子邮件帐户密码来阻止垃圾邮件。最终用户可能需要清理所有机器,以防止键盘记录器泄露新的电子邮件密码。在这种情况下,合法电子邮件服务器的所有者可能需要检查日志以寻找更多线索,并确保没有更多问题。
拥有有效的滥用联系地址通常可以防止被列入黑名单,因为当问题开始时您就知道问题的存在。